我國(guó)中小企業(yè)信息安全管理的現(xiàn)狀和原因分析

中小企業(yè)在我國(guó)經(jīng)濟(jì)發(fā)展中占有十分重要的地位，在20世紀(jì)90年 代以來(lái)的經(jīng)濟(jì)快速增長(zhǎng)中，超過(guò)76%工業(yè)新增產(chǎn)值的以上是由中小企業(yè)創(chuàng)造的，我國(guó)中小企業(yè)總產(chǎn)值和實(shí)現(xiàn)利稅已分別約占全國(guó)的60%和40%，在近幾年的出 口總額中約占60%。與此同時(shí)，中小企業(yè)還提供了大約75%的城鎮(zhèn)就業(yè)機(jī)會(huì)，特別是近年來(lái)經(jīng)濟(jì)結(jié)構(gòu)調(diào)整和國(guó)有企業(yè)改組力度加大，中小企業(yè)吸納就業(yè)的作用更 加明顯。

截止二零零六年十月底，我國(guó)中小企業(yè)數(shù)已達(dá)到4200多萬(wàn)戶，占全國(guó)企業(yè)總數(shù)的99.8%；中小企業(yè)創(chuàng)造的最終產(chǎn)品和服務(wù)的價(jià)值占我國(guó)GDP的58.5%，生產(chǎn)的商品占社會(huì)銷售額的59%，上繳稅收占48.2%，提供的城鎮(zhèn)就業(yè)崗位已占到75%。中小企業(yè)在國(guó)民經(jīng)濟(jì)發(fā)展中所處的重要地位和作用已逐步顯現(xiàn)。

隨著在經(jīng)濟(jì)活動(dòng)中扮演的角色越來(lái)越重要，中小企業(yè)對(duì)網(wǎng)絡(luò)和信息技術(shù)的依賴程度也越來(lái)越強(qiáng)。據(jù)IDC（International Data Corperation）的一項(xiàng)調(diào)查數(shù)據(jù)顯示，我國(guó)目前已有57.7%的 中小企業(yè)已經(jīng)實(shí)施了信息化。從我國(guó)企業(yè)目前的信息安全現(xiàn)狀來(lái)看，無(wú)論是軟硬件系統(tǒng)本身，還是組織和管理方面，都存在著各種各樣安全隱患，面臨的威脅越來(lái)越 多樣化和頻繁化，攻擊頻率越來(lái)越高，我國(guó)企業(yè)信息安全問(wèn)題十分嚴(yán)峻。面對(duì)嚴(yán)峻的信息安全安全形勢(shì)，信息安全防護(hù)越來(lái)越受到企業(yè)的關(guān)注，很多企業(yè)開(kāi)始在信息 安全管理上投入大量的人力、物力和財(cái)力。目前，國(guó)內(nèi)大型企業(yè)由于企業(yè)信息化起步早、資金和相關(guān)技術(shù)力量充足、安全管理制度較為完善，因此信息安全體系成熟 度也相對(duì)較高，但是大部分中小企業(yè)的信息安全狀況卻十分令人擔(dān)憂。

我國(guó)中小企業(yè)信息安全面臨的主要威脅

由于管理、資金和技術(shù)等方面的原因，中小企業(yè)的安全問(wèn)題一直隱患重重。中小企業(yè)的信息安全管理在安全性方面普遍存沒(méi)有嚴(yán)格的規(guī)范和制度，存在著嚴(yán)重漏洞，人 員的素質(zhì)和技術(shù)水平與大型企業(yè)相比，有較大的差距，所以在企業(yè)信息安全的內(nèi)部脆弱性比大型企業(yè)存在更多的漏洞和不足。因?yàn)槠髽I(yè)內(nèi)部威脅也為外部威脅提供了 可能，在企業(yè)的信息安全的外部威脅上，中小企業(yè)更容易受到網(wǎng)絡(luò)病毒的侵害。由于網(wǎng)絡(luò)維護(hù)、運(yùn)行、升級(jí)等事務(wù)性工作繁重而且成本較高，這也使得善于精打細(xì)算 的中小企業(yè)在信息安全管理問(wèn)題上進(jìn)退兩難。中小企業(yè)用戶的局域網(wǎng)一般來(lái)說(shuō)網(wǎng)絡(luò)結(jié)構(gòu)不太復(fù)雜，主機(jī)數(shù)量不太多，服務(wù)器提供的服務(wù)相對(duì)較少。這樣的網(wǎng)絡(luò)通常很 少甚至沒(méi)有專門(mén)的管理員來(lái)維護(hù)網(wǎng)絡(luò)的安全，這就給黑客和非法訪問(wèn)提供了可乘之機(jī)。

國(guó)內(nèi)反病毒廠商江民科技進(jìn)行了一項(xiàng)針對(duì)我國(guó)中小企業(yè)信息安全狀況的調(diào)查，調(diào)查對(duì)象包括北京、廣東、武漢等十余個(gè)城市的中小企業(yè)。報(bào)告顯示全國(guó)有 78.04%的中小型企業(yè)信息安全中都存在威脅，僅有 21.96%的中小企業(yè)擁有良好的信息安全環(huán)境，在所有參與調(diào)查的企業(yè)中，有15.75%的企業(yè)信息安全中沒(méi)有任何的防護(hù)措施，81.48%的企業(yè)只安裝 了單機(jī)版殺毒軟件，而網(wǎng)絡(luò)版殺毒軟件的使用率不到兩成。

另外，由于資金、技術(shù)等方面的原因，大部分中小型企業(yè)并沒(méi)有自己專職的信息安全管理員，對(duì)電腦軟硬件的使用也幾乎毫無(wú)管理措拖，這都使得中小型企業(yè)在網(wǎng)絡(luò)管理的安全性方面存在嚴(yán)重漏洞，與大型企業(yè)、行業(yè)用戶相比，更容易受到網(wǎng)絡(luò)病毒的侵害，造成的損失同樣嚴(yán)重。

1、內(nèi)部威脅

企業(yè)信息系統(tǒng)不可避免地存在著多種脆弱性。這些脆弱性可能是人為故意制造的，也有可能是由于某些偶然因素造成的。偶然的脆弱性是指信息系統(tǒng)的軟硬件、運(yùn)行環(huán) 境、網(wǎng)絡(luò)協(xié)議、安全策略或者操作規(guī)程等在規(guī)定、設(shè)計(jì)、開(kāi)發(fā)或運(yùn)行期間，由于非故意的失誤而造成的漏洞和弱點(diǎn)。故意的脆弱性是有預(yù)謀的行為結(jié)果，根據(jù)有預(yù)謀 行為的動(dòng)機(jī)，故意的脆弱性又可分為善意和惡意兩種。信息系統(tǒng)有時(shí)可能因?yàn)樯埔獾哪康亩嬖诠室獯嗳跣?，例如：硬件設(shè)備廠商在設(shè)備出廠時(shí)會(huì)預(yù)設(shè)默認(rèn)的管理該 設(shè)備的賬號(hào)和密碼，以供設(shè)備管理人員維護(hù)和使用，如果不對(duì)這種默認(rèn)帳號(hào)和密碼進(jìn)行及時(shí)更改，就會(huì)被不法分子利用侵入信息系統(tǒng)。故意的脆弱性也可能因惡意目 的而形成，病毒和特洛伊木馬就是兩種惡意脆弱性的典型例子。按照脆弱性所處的位置，信息系統(tǒng)脆弱性可分為以下六類：

(1) 硬件脆弱性，指硬件設(shè)備中存在的漏洞和弱點(diǎn)，主要包括：硬件設(shè)備的電磁泄漏、電子設(shè)備之間相互電磁干擾、硬件溫敏效應(yīng)過(guò)大、存儲(chǔ)介質(zhì)的剩磁效應(yīng)、硬件可靠 性故障以及有線通信介質(zhì)易串音、架空明線載波輻射容易導(dǎo)致泄密、無(wú)線通信內(nèi)容容易被截獲和破譯、無(wú)線通信設(shè)備容易被電子偵察技術(shù)偵察等等。信息系統(tǒng)硬件脆 弱性多來(lái)源于硬件的設(shè)計(jì)和設(shè)備材質(zhì)本身的特性，這些脆弱性往往會(huì)導(dǎo)致物理安全方面的問(wèn)題。

(2) 信息系統(tǒng)軟件的脆弱性，指由軟件規(guī)范、開(kāi)發(fā)和配置過(guò)程中的錯(cuò)誤所導(dǎo)致的漏洞?；谲浖嗳跣缘囊朐?，軟件脆弱性又可分為輸入驗(yàn)證脆弱性、競(jìng)爭(zhēng)條件脆弱性、訪問(wèn)驗(yàn)證脆弱性、配置錯(cuò)誤脆弱性、意外情況處置脆弱性、環(huán)境錯(cuò)誤脆弱性以及軟件設(shè)計(jì)錯(cuò)誤脆弱性等七類脆弱性。

(3) 網(wǎng)絡(luò)通信協(xié)議脆弱性，指由于通信協(xié)議設(shè)計(jì)所導(dǎo)致的漏洞。基于TCP/IP 協(xié)議棧的因特網(wǎng)及其通信協(xié)議存在著不可忽略的脆弱性。TCP/IP 協(xié)議是在美國(guó)國(guó)防系統(tǒng)內(nèi)部的互相信任的網(wǎng)絡(luò)這一應(yīng)用環(huán)境設(shè)計(jì)的，當(dāng)其推廣到全社會(huì)的應(yīng)用環(huán)境之后，就會(huì)導(dǎo)致因信任假設(shè)條件不滿足而產(chǎn)生的安全隱患。概括起 來(lái)，因特網(wǎng)協(xié)議具有以下幾種重要的脆弱性：1.用戶身份鑒別脆弱性；2.路由協(xié)議鑒別認(rèn)證脆弱性；3.TCP/UDP 脆弱性，如 TCP“三次握手”脆弱性，TCP連接初始序列號(hào)脆弱性，UDP 無(wú)連接控制脆弱性，以及 TCP/IP 應(yīng)用服務(wù)協(xié)議脆弱性等等。

(4) 信息系統(tǒng)運(yùn)行環(huán)境的脆弱性，辦公室、濕控、電力、機(jī)房、照明、溫控、防盜、防火、防雷、防震、防電磁輻射、抗電磁干擾等等設(shè)施，樓寓建筑結(jié)構(gòu)及布線情況等方面，以及戶外傳輸介質(zhì)、公共網(wǎng)絡(luò)區(qū)域等存在的漏洞和不足。

(5) 信息安全策略脆弱性，就是指與保護(hù)信息系統(tǒng)資源相關(guān)的法規(guī)、政策、制度和安全指導(dǎo)方針?lè)矫娴牟蛔?，主要可以分為物理安全策略脆弱性、?shù)據(jù)安全策略脆弱性以及人員安全策略脆弱性等等。

(6) 管理的脆弱性，就是信息系統(tǒng)在日常安全管理和應(yīng)急措施方面的不足，根據(jù)ISO27001信息安全管理體系的標(biāo)準(zhǔn)，管理脆弱性又包括機(jī)構(gòu)安全管理脆弱性、信 息資產(chǎn)控制管理脆弱性、人員安全管理脆弱性、物理與環(huán)境管理脆弱性、通信與操作安全管理脆弱性、系統(tǒng)開(kāi)發(fā)和維護(hù)管理脆弱性以及業(yè)務(wù)連續(xù)性管理脆弱性等。

值得注意的是，脆弱性雖然是信息系統(tǒng)本身具有的，但它本身不會(huì)造成信息系統(tǒng)的損失，它只是一種可能被外部的攻擊者利用而造成損失的一種條件或環(huán)境。如果沒(méi)有相應(yīng)的威脅發(fā)生，單純的脆弱性并不會(huì)造成對(duì)信息系統(tǒng)的破壞。

2、外部威脅

二零零八年全國(guó)信息安全狀況與計(jì)算機(jī)病毒調(diào)查中，二零零七年五月至二零零八年 五月，62.7%的被調(diào)查單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件，比去年減少3%。感染計(jì)算機(jī)病毒、蠕蟲(chóng)和木馬程序的情況任然最為突出，其次是網(wǎng)絡(luò)攻擊、端口掃描、 垃圾郵件和網(wǎng)頁(yè)篡改。在問(wèn)及中小企業(yè)使用電腦時(shí)最頭疼的問(wèn)題時(shí)，33%的企業(yè)回答是總受病毒干擾；垃圾郵件，電子郵件是中國(guó)網(wǎng)民最常用的互聯(lián)網(wǎng)功能之一， 特別是對(duì)一些中小企業(yè)來(lái)說(shuō)，沒(méi)有自己的郵件服務(wù)器，一般是租用網(wǎng)上郵箱，對(duì)垃圾郵件更是不勝其擾，產(chǎn)生許多信息安全隱患；惡意軟件，很多上網(wǎng)電腦都會(huì)在未 被告知并經(jīng)許可的情況下安裝或者曾經(jīng)安裝了各類廣告軟件、間諜軟件、瀏覽器劫持、惡意共享軟件、行為記錄軟件或者惡作劇程序，有些間諜軟件、行為記錄軟件 能夠在用戶不知情的情況下，在其電腦上安裝后門(mén)，為黑客打開(kāi)方便之門(mén)，造成了信息安全的嚴(yán)重隱患；入侵攻擊，由于入侵者在網(wǎng)絡(luò)上的入侵行為往往混雜于正常 的網(wǎng)絡(luò)活動(dòng)中，而且也沒(méi)有地域和時(shí)間的限制，因而其隱蔽性很強(qiáng)，此外，入侵的手段和工具正趨向復(fù)雜化和多樣化。

企業(yè)信息安全威脅主要包括內(nèi)部和外部?jī)蓚€(gè)方面，其中內(nèi)部威脅主要是指系統(tǒng)自身的脆弱性和內(nèi)部人員的攻擊，人的行為是內(nèi)部威脅之源頭。而人的因素，主要包括潛 在威脅者的動(dòng)機(jī)及其專業(yè)技術(shù)水平。動(dòng)機(jī)因素主要來(lái)源于經(jīng)濟(jì)、政治、個(gè)人情緒和其他因素。研究人的行為，規(guī)范人的行為，防范人的行為是抵御信息安全威脅的核 心。從企業(yè)角度來(lái)看，規(guī)范人的行為主要通過(guò)企業(yè)的組織制度和管理手段上來(lái)體現(xiàn)，因此，對(duì)于中小企業(yè)信息安全問(wèn)題主要從企業(yè)的組織制度和管理方法來(lái)解決。同 時(shí)也不能忽視企業(yè)在信息安全技術(shù)上的投入，系統(tǒng)自身的缺陷和脆弱性是產(chǎn)生外部威脅的重要原因，因?yàn)橹行∑髽I(yè)的財(cái)力有限所有在信息系統(tǒng)自身的投入要以盡可能 低的成本保證信息系統(tǒng)的安全和可靠。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://bqlw.net/zs/202008/ccaa_5548.html